Sommaire
Les cybercriminelles et cybercriminels tentent de tromper les gens pour qu’ils leur divulguent des renseignements personnels, leur donnent de l’argent ou leur accordent l’accès à leurs comptes et à leurs appareils. Une des méthodes les plus courantes est la mystification.
Qu’est-ce que la mystification?
La mystification est une méthode utilisée par les cybercriminelles et cybercriminels pour camoufler leurs activités malveillantes et faire croire qu’un message provient d’une source digne de confiance. Elle fait paraître les messages, les sites Web ou les appels comme étant légitimes.
La mystification se retrouve souvent sous la forme :
- d’adresses courriel;
- de sites Web;
- de messages texte;
- de pages de médias sociaux;
- d’appels téléphoniques.
En utilisant la mystification, les cybercriminelles et cybercriminels tentent de vous inciter à :
- transmettre vos renseignements personnels ou de l’information financière;
- cliquer sur un lien malveillant;
- télécharger et diffuser un maliciel;
- envoyer de l’argent.
Examples de mystification
Une ou un cybercriminel peut créer un site Web qui a l’air presque identique à celui de votre banque. Si la conception de la page semble familière, il se pourrait que l’adresse URL ait une petite modification orthographique. L’objectif est que vous saisissiez vos renseignements bancaires sans remarquer que ce site Web malveillant est illégitime.
La mystification est souvent employée dans le cadre d'attaques d’hameçonnage. Par exemple, vous pourriez recevoir un courriel qui semble provenir d’une ou un collègue, d’une ou un ami ou d’une entreprise de confiance. Ce message pourrait vous inciter à cliquer sur un lien, à ouvrir une pièce jointe ou à confirmer les informations du compte.
Voici d’autres exemples de mystification :
- un appel téléphonique d’une personne affirmant représenter une entreprise ou une agence gouvernementale;
- un message texte qui semble provenir d’une ou un ami ou d’une ou un collègue;
- un courriel qui demande de vérifier de l’information pour conserver un accès ou recevoir un colis.
Comment reconnaître la mystification
Les cybercriminelles et cybercriminels sont passés maîtres dans l’art de concevoir des messages et des sites Web qui semblent tout à fait dignes de confiance. Ils reprennent le logo et des éléments graphiques identiques ou semblables à ceux utilisés par l’entreprise. Mais il y a des indices qui peuvent nous indiquer qu’il s’agit d’un faux message ou d’un faux site Web.
Les signes courants de mystification sont :
- une expéditrice ou un expéditeur que vous ne reconnaissez pas;
- une adresse de courriel qui a un caractère en plus ou au mauvais endroit (par exemple, une lettre manquante ou ajoutée, des lettres sensibles à la casse ou des polices ou symboles peu courants);
- passez votre curseur sur le nom de l’expéditrice ou expéditeur ou vérifiez les informations relatives au message pour voir l’adresse complète.
- des fautes d’orthographe et des erreurs grammaticales;
- des demandes d’information personnelle ou confidentielle;
- un ton suggérant une urgence ou se voulant menaçant;
- des liens, des pièces jointes et des codes QR non sollicités;
- une faible qualité audio pendant un appel (mais la technologie s’améliore, et il peut être difficile de reconnaître une mystification par la qualité audio).
Nouveaux exemples de mystification
Même s’il existe beaucoup d’indices de mystification, les arnaques se perfectionnent et deviennent difficiles à reconnaître. Les cybercriminelles et cybercriminels peuvent employer les méthodes suivantes :
- des messages d’hameçonnage générés par intelligence artificielle (IA) qui peuvent être personnalisés et ne présentent pas de fautes d’orthographe ou d’erreurs grammaticales;
- du contenu généré par IA et des hypertrucages utilisés pour créer du contenu visuel et audio qui personnifie bien les organisations;
- des pages Web dont les adresses URL diffèrent peu de l’adresse légitime (petite faute d’orthographe ou fin d’adresse en « .co » au lieu de « .com »);
- des demandes de paiement inhabituelles par cartes-cadeaux ou cryptomonnaie;
- l’hameçonnage par code QR au moyen de courriels ou de documents qui redirigent les victimes vers des sites malveillants;
- des vérifications de sécurité qui vous demandent de confirmer vos tentatives de connexion ou de réinitialiser votre compte en cliquant sur les liens fournis.
Comment vous protéger
Vérifiez la source
Bon nombre de menaces par hameçonnage ou par mystification sont de plus en plus difficiles à reconnaître en raison des avancées technologiques. En cas de doute concernant un courriel, un message, un site Web ou un appel téléphonique, vérifiez qu’il est légitime.
Communiquez toujours avec l’organisation par l’intermédiaire des voies de communications officielles que vous trouvez en faisant vos propres recherches (par exemple, la page Web officielle de l’organisme).
N’utilisez jamais les liens ou les numéros de téléphone affichés dans un message suspect, car ils pourraient vous connecter directement à une ou un cybercriminel.
Fiez-vous à votre instinct
La plupart des compagnies consacrent beaucoup de temps et d’efforts à soigner leurs communications. Si tout n’est pas impeccable dans un message ou un site Web, il est possible qu’il s’agisse d’une tentative de mystification.
De la même manière, si vous recevez un appel d’une personne qui affirme représenter une agence gouvernementale, méfiez-vous. Avant de divulguer vos renseignements personnels, demandez-vous s’il est logique que le gouvernement communique avec vous de cette façon.
Dans la plupart des cas, la réponse est non. Vous pouvez alors simplement raccrocher et téléphoner au numéro indiqué sur le site Web officiel de l’organisme.
Si vous êtes victime d’une arnaque
Si un message ou un site Web mystifié vous a trompé :
- signalez les cas de cybercriminalité et de fraude en ligne;
- communiquez avec votre service de police local;
- modifiez tout mot de passe compromis;
- informez votre banque et autres institutions financières connexes.
En reconnaissant les signes et en prenant le temps de vérifier les messages, vous atténuez les risques et protégez votre information.